常见错误
排查云账户、DNS 验证、证书签发和自动部署中的高频问题。
适用场景
你已经按快速开始操作,但证书申请或自动部署没有成功。
这里按问题出现的位置给出排查顺序。排查时不要急着反复提交,先判断问题属于哪一段:云账户、域名匹配、DNS-01、证书品牌、证书额度、云产品部署或服务器 Agent。
前置条件
- 保留出错的域名、证书订单或部署记录。
- 确认最近是否修改过云账户权限、DNS 托管或服务器 Agent。
- 可以登录控制台查看异步任务、证书详情和部署记录。
- 如果问题和 DNS 有关,能进入 DNS 服务商后台查看
_acme-challenge记录。 - 如果问题和部署有关,能进入云产品控制台或服务器查看实际证书状态。
操作步骤
-
先定位失败阶段。
- 新增云账户失败:看凭据和权限。
- 新增域名失败:看 DNS 能力和厂商域名列表。
- 预检查失败:看品牌能力、域名匹配和托管 DNS-01。
- 签发失败:看 DNS-01 TXT 记录是否生效。
- 自动部署失败:看目标资源、证书覆盖范围和部署记录。
- 服务器部署失败:看 Agent 在线状态、任务日志和 Nginx 配置检查。
-
云账户认证失败时,重新检查 AccessKey、Secret、Token 和权限范围。
重点确认凭据没有填反、没有过期、没有被禁用,并且具备 DNS 或证书部署所需权限。
-
DNS 验证失败时,检查
_acme-challenge记录是否写入正确 DNS 区域。如果申请
*.example.com,通常需要验证_acme-challenge.example.com。如果申请多域名证书,可能会出现多条验证记录。 -
预检查未通过时,优先看表格里的“说明”。
常见原因是域名没有添加到域名管理、DNS 云账户不是当前托管商、品牌不支持通配符,或托管 DNS-01 还没有完成 CNAME 检查。
-
证书申请失败时,进入证书详情查看失败原因和任务记录。
如果失败原因指向 DNS 传播,不要立即删除重建证书;先确认 DNS 记录是否已经全球生效。
-
自动部署失败时,查看部署记录。
确认目标资源存在、证书覆盖目标域名、云账户有上传或绑定证书权限,并且没有重复部署目标。
-
Agent 场景失败时,先确认节点在线,再检查本机 Nginx 配置。
Agent 离线时任务无法投递。Nginx 配置测试失败时,系统不会强制重载,避免把站点带下线。
验证结果
问题修复后,按失败阶段重新验证:
- 云账户问题:重新保存云账户,或回到域名管理确认 DNS 能力可选。
- 域名问题:重新执行证书预检查,确认匹配状态变为已匹配。
- DNS-01 问题:等待解析生效后重试签发或等待任务继续。
- 部署问题:重新投递部署任务,查看部署记录是否成功。
- Agent 问题:确认节点最近心跳正常,任务日志不再报错。
常见失败
- 只改了云账户密钥,但没有给子账号补 DNS 写入权限。
- 域名 DNS 已迁移,但青桔ssl 中仍选择旧云账户。
- TXT 记录存在多个冲突值,ACME 服务读到旧值。
- 服务器证书文件已写入,但 Nginx 配置测试失败。
- 证书覆盖范围不足,目标域名不在证书的域名列表里。
- 自动部署目标已存在,导致同一域名不能重复创建部署目标。
- 只保存了部署目标,没有立即部署,也没有开启续期自动部署。
- Cloudflare API Token 只有读取权限,没有 DNS 编辑权限。
如果你需要联系支持人员,建议带上以下信息:
- 出错域名和证书 ID。
- 操作时间和失败页面。
- 云厂商、云账户用途、部署产品。
- 预检查表格或部署记录中的错误文案。
- DNS 服务商后台里
_acme-challenge记录的当前值。
下一步
如果问题仍然存在,整理域名、证书 ID、任务时间和错误截图,再联系支持人员。
最后编辑于